Copia de seguridad completa, restauración y restauración selectiva de claves

Nota:

Esta característica solo está disponible para el tipo de recurso HSM administrado.

Managed HSM admite la creación de una copia de seguridad completa del contenido completo del HSM, incluidas todas las claves, versiones, atributos, etiquetas y asignaciones de roles. El proceso de copia de seguridad cifra los datos mediante claves criptográficas asociadas al dominio de seguridad del HSM.

La copia de seguridad es una operación del plano de datos. El autor de la llamada que inicia la operación de copia de seguridad debe tener permiso para realizar dataAction Microsoft.KeyVault/managedHsm/backup/start/action.

Solo los siguientes roles integrados tienen permiso para realizar una copia de seguridad completa:

  • Administrador de HSM administrado
  • Copia de seguridad administrada de HSM

Para realizar copias de seguridad y restaurar el HSM administrado, asigne una identidad administrada asignada por el usuario (UAMI) al servicio HSM administrado. Puede usar una UAMI independientemente de si la cuenta de almacenamiento tiene habilitado el acceso a la red pública o el acceso a la red privada. Si la cuenta de almacenamiento está detrás de un punto de conexión privado, el método UAMI funciona si se salta el servicio de confianza para permitir copias de seguridad y restauración.

Para ejecutar una copia de seguridad completa, proporcione la siguiente información:

  • Nombre o dirección URL de HSM
  • Nombre de la cuenta de almacenamiento
  • Contenedor de almacenamiento de blobs de una cuenta de almacenamiento
  • Identidad administrada asignada por el usuario

Azure Cloud Shell

Azure hospeda Azure Cloud Shell, un entorno de shell interactivo que puede usar a través del explorador. Puede usar Bash o PowerShell con Cloud Shell para trabajar con servicios de Azure. Puede usar los comandos preinstalados de Cloud Shell para ejecutar el código de este artículo, sin tener que instalar nada en el entorno local.

Para iniciar Azure Cloud Shell:

Opción Ejemplo o vínculo
Seleccione Pruébelo en la esquina superior derecha de un código o bloque de comandos. Al seleccionar Inténtalo, no se copia automáticamente el código o el comando en Cloud Shell. Captura de pantalla que muestra un ejemplo de la opción Pruébelo para Azure Cloud Shell.
Vaya a https://shell.azure.com o seleccione el botón Iniciar Cloud Shell para abrir Cloud Shell en el explorador. Botón para iniciar Azure Cloud Shell.
Seleccione el botón Cloud Shell en la barra de menús en la parte superior derecha del Azure portal. Captura de pantalla que muestra el botón de Cloud Shell en Azure Portal

Para usar Azure Cloud Shell:

  1. Inicie Cloud Shell.

  2. Seleccione el botón Copiar en un bloque de código (o bloque de comandos) para copiar el código o comando.

  3. Pegue el código o comando en la sesión de Cloud Shell seleccionando Ctrl+Mayús+V en Windows y Linux o seleccionando Cmd+Mayús+V en macOS.

  4. Seleccione Enter para ejecutar el código o comando.

Requisitos previos para realizar copias de seguridad y restaurar mediante la identidad administrada asignada por el usuario

  1. Asegúrese de que tiene la versión 2.56.0 o posterior de la CLI de Azure. Ejecute az --version para encontrar la versión. Si necesita instalarla o actualizarla, consulte Instalación de la CLI de Azure.
  2. Cree una identidad administrada asignada por el usuario.
  3. Cree una cuenta de almacenamiento (o use una cuenta de almacenamiento existente). La cuenta de almacenamiento no puede tener aplicada una directiva de inmutabilidad.
  4. Si el acceso a la red pública está deshabilitado en la cuenta de almacenamiento, habilite la omisión del servicio de confianza en la cuenta de almacenamiento en la pestaña Redes , en Excepciones.
  5. Proporcione acceso al rol Colaborador de datos de Storage Blob a la identidad administrada asignada por el usuario creada en el paso 2; para ello, vaya a la pestaña Control de acceso del portal y seleccione Agregar asignación de roles. Después, seleccione identidad administrada y seleccione la identidad administrada creada en el paso 2:>Revisar y asignar.
  6. Cree el HSM administrado y asocie la identidad administrada: 
    az keyvault create --hsm-name <hsm-name> -l <location> --retention-days 7 --administrators "<initial-admin>" --mi-user-assigned "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>"

Si tiene un HSM administrado existente, asocie la identidad administrada actualizando el MHSM con el comando siguiente.

 az keyvault update-hsm --hsm-name <hsm-name> --mi-user-assigned "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>"

Copia de seguridad completa

La copia de seguridad es una operación de larga duración, pero devuelve inmediatamente un identificador de trabajo. Puede comprobar el estado del proceso de copia de seguridad mediante este identificador de trabajo. El proceso de copia de seguridad crea una carpeta dentro del contenedor designado con el siguiente patrón de nomenclatura: mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS}. En este patrón, HSM_NAME es el nombre del HSM administrado del que se realiza una copia de seguridad, y YYYY, MM, DDHHmmy SS son el año, mes, fecha, hora, minutos y segundos de la fecha y hora en UTC cuando se recibió el comando de copia de seguridad.

Aunque la copia de seguridad está en curso, es posible que el HSM no funcione a un rendimiento completo, ya que algunas particiones de HSM están ocupadas realizando la operación de copia de seguridad.

Nota:

No se admiten las copias de seguridad en cuentas de almacenamiento con una directiva de inmutabilidad aplicada.

  1. En el portal Azure, vaya al recurso HSM administrado.

  2. En el menú de la izquierda, en Configuración, seleccione Copia de seguridad.

  3. Proporcione los detalles de la cuenta de almacenamiento y del contenedor y, a continuación, seleccione Iniciar copia de seguridad para iniciar la copia de seguridad.

    Captura de pantalla de la hoja de copia de seguridad del HSM administrado en el portal de Azure.

Restauración completa

La restauración completa restaura el contenido del HSM a partir de una copia de seguridad anterior, incluidas todas las claves, versiones, atributos, etiquetas y asignaciones de roles. El proceso quita todo lo que se almacena actualmente en el HSM y lo devuelve al mismo estado que estaba en el momento en que se creó la copia de seguridad de origen.

Importante

La restauración completa es una operación destructiva y perjudicial. Por ello, debe realizar una copia de seguridad completa del HSM que vaya a restaurar al menos 30 minutos antes de una operación restore.

La restauración es una operación del plano de datos. El autor de la llamada que inicia la operación de restauración debe tener permiso para realizar dataAction Microsoft.KeyVault/managedHsm/restore/start/action. El HSM de origen donde creó la copia de seguridad y el HSM de destino donde se realiza la restauración deben tener el mismo dominio de seguridad. Obtenga más información sobre el dominio de seguridad del HSM administrado.

Puede ejecutar una restauración completa mediante una identidad administrada asignada por el usuario. Para ejecutar una restauración completa, proporcione la siguiente información:

  • Nombre o dirección URL de HSM
  • Nombre de la cuenta de almacenamiento
  • Contenedor de blobs en una cuenta de almacenamiento
  • Identidad administrada asignada por el usuario
  • Nombre de carpeta del contenedor de almacenamiento donde se almacena la copia de seguridad de origen

La restauración es una operación de larga duración, pero devuelve inmediatamente un identificador de trabajo. Puede comprobar el estado del proceso de restauración mediante este identificador de trabajo. Cuando el proceso de restauración está en curso, el HSM entra en modo de restauración y todos los comandos del plano de datos (excepto comprobar el estado de restauración) están deshabilitados.

  1. En el portal Azure, vaya al recurso HSM administrado.

  2. En el menú izquierdo, en Configuración, seleccione Restaurar.

  3. Proporcione los detalles de la cuenta de almacenamiento, el contenedor y la carpeta de copia de seguridad y, a continuación, inicie la restauración.

    Captura de pantalla del panel de restauración del HSM administrado en el portal de Azure.

Restauración selectiva de claves

La restauración selectiva de claves restaura una clave con todas sus versiones de clave de una copia de seguridad anterior en un HSM. La clave debe purgarse para que funcione la restauración selectiva de claves. Si estás intentando recuperar una clave eliminada temporalmente, utiliza key recover. Obtenga más información sobre la recuperación de claves.

  1. En el portal Azure, vaya al recurso HSM administrado.

  2. En el menú izquierdo, en Configuración, seleccione Restaurar y, a continuación, elija la opción para restaurar una sola clave desde la copia de seguridad.

Pasos siguientes

  • Last updated on